Ayuda con Wireshark

Iniciado por SCU, 4 Diciembre 2013, 02:41 AM

0 Miembros y 1 Visitante están viendo este tema.

SCU

Hola, toqueteando el router me he dado cuenta de que hay un dispositivo android no reconocido conectado a mi red. Al verlo he arrancado el Wireshark y he aplicado algunos filtros pero ningún paquete capturado de dicha ip en cuestión. Tras este intento he conectado mi teléfono android a la red y me he puesto a generar tráfico, pings etc... nada el wireshark me detecta los pc pero no los teléfonos...


no entiendo nada... algún comentario al respecto?

gracias
9Pilon13Gate14Gas16Pylon...cibernetics&...¿?¿?¿?FUCK! scout scout scout!

engel lex

busca un tutorial... tu tarjeta de red por defecto solo lee los paquetes que le envian a ella, los que envian a los demás simplemente los ignora, por eso solo vez lo que va y viene de tu pc...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

SCU

No es el caso, puedo ver los paquetes enviados por el resto de pc en la red.

Después de varias asignaturas de redes es la primera vez que oigo que la tarjeta de red ignora x paquetes... que yo sepa eso es imposible ya que hasta donde yo sé para filtrar necesitas hacerlo desde el router...
9Pilon13Gate14Gas16Pylon...cibernetics&...¿?¿?¿?FUCK! scout scout scout!

Platanito Mx

Espero esto te de una idea

CitarII. Capturas con Wireshark en una red WLAN (802.11)
El medio inalámbrico no es un medio tan limitado fisicamente como lo puede ser un cable, y por ello las tarjetas de red Wifi utilizan dos mecanismos más de filtrado de paquetes (además de la MAC como en redes ethernet) : El SSID y el canal.
No describiré en profundidad la estructura de una trama 802.11 pero cabe comentar que se destinan dos bits de la trama para definit 3 grupos (tipos) de paquetes: administración (para la asociación, desasociacion, autenticación...), control (gestion acceso al medio) y datos. Estos a su vez tienen subtipos identificados por 4 bits más ,es decir que por cada tipo tendremos hasta 2⁴ = 16 subtipos.

Generalmente los drivers de las tarjetas inalámbricas transforman el formato de los paquetes 802.11 al formato ethernet (802.3) por lo que no podremos ver la estructura de todos los paquetes WLAN sin intervención. Eso se hace poniendo la tarjeta en modo monitor con lo que seremos capaces de analizar las cabeceras de las tramas 802.11 y con ello no solo de los paquetes de datos, sino también de los paquetes de control y administración.

Desgraciadamente no todas las tarjetas permiten el modo monitor y tampoco todos los sistemas. En Linux tenemos menos problemas y mediante la librería pcap suele poderse.
Winpcap es la versión para windows ya que en éste  con sus drivers (NDIS) no soporta el modo monitor de la tarjeta . Wireshark se apoya en lipcap(Linux) o winpcap (windows) para la captura de tráfico. Otra posibilidad es usar los productos Airpcap de cacetech pero no son gratuitos precisamente.

Modo monitor:
Permite ver las tramas 802.11 y deshabilitar los filtros SSID y canal tipicos de la WLAN lo que nos permite capturar tráfico independientemente del SSID y el canal de tráfico.
En el medio inalámbrico al ser emisiones de radio éstas llegan a cualquier máquina dentro de su radio de alcance por lo  que se asemejaría a una topología HUB en una red cableada.
Modo promiscuo:
Al igual que en ethernet, deshabilita el filtro MAC y nos pernmite capturar paquetes independientemente de la dirección MAC de destino que lleven. Es decir, la tarjeta no descartará el paquete como haría normalmente si no corresponde con su MAC y lo pasa al sistema para su proceso.

El modo monitor es sólo aplicable a medios inalámbricos mientras que el modo promiscuo es posible en ambos.
En capturas WLAN se hace uso del modo promiscuo para poder monitorizar todo el tráfico de  paquetes sin estar asociados a ningún SSID y/o canal en particular.

Sobre la captura, pues similar a la parte ethernet. En este caso como el tráfico no va por un circuito físico no tenemos el problema de la red switcheada y con el modo monitor que nos elimina los filtros de SSID y canal  podremos "sniffar"  todo el tráfico aéreo.

SCU

Gracias, me conecto por cable y arreglado :)
9Pilon13Gate14Gas16Pylon...cibernetics&...¿?¿?¿?FUCK! scout scout scout!

Platanito Mx

Excelente, como dice el post que te puse posiblemente tu tarjeta inalambrica no permitia el modo monitor en windows, en linux te permite cambiar el modo

engel lex

Cita de: SCU en  4 Diciembre 2013, 10:54 AM
No es el caso, puedo ver los paquetes enviados por el resto de pc en la red.

Después de varias asignaturas de redes es la primera vez que oigo que la tarjeta de red ignora x paquetes... que yo sepa eso es imposible ya que hasta donde yo sé para filtrar necesitas hacerlo desde el router...

XD leete los cursos de cisco... ya que si las tarjetas analizan y leen TOOOODO el trafico 1- pierden tiempo que podrian leer otros paquetes, 2- alguien dijo vulnerabilidad?, 3-y DDOS?

Recomiendo leer documentación, pasar a modo promiscuo o monitor y reintentarlo, si el dispositivo está en tu red, aun debe estar por lo menos un paquete "keep alive" para mantenerse en los pool del router, por otro lado, es probable que puedas ver los paquetes, pero si la red es wpa necesitarás algunas tecnicas extras y un poco más de info para poder ver su contenido, ya que el wpa cifra para cada usuario diferente (sin sonar antipatico, las clases de redes de la uni son MUY basicas, busca los libros de cisco o documentos de protocolos para poder tener una informacion completa... si, la computadora filtra a un monton de niveles, por nombrar algunos, mas o menos en orden, 1-Protocolo (encriptacion), 2-Emisor, 3-Canal, 4-receptor (MAC), hasta ahí por la tarjeta de red, luego, 4-IP, 5-Protocolo (puerto), esos por el SO...)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

domin05

Donde puedo encontrar manual???

Enviado desde mi HTC Desire 601 usando Tapatalk 2